Обзор уязвимостей за прошедшую неделю (21-28 ноября)
Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Twitter, Oracle, Acer, Google, Chrome, BMC, Atlassian, Omron, Android.
Хакеры опубликовали в открытом доступе персональные данные 5,4 млн. пользователей Twitter. Информация была украдена злоумышленниками за счёт эксплуатации уязвимости API социальной сети зимой 2022 года.
Агентство по кибербезопасности и защите инфраструктуры (CISA) предупредило пользователей о наличии критической уязвимости в Oracle Fusion Middleware. Ошибка в защите имеет идентификатор CVE-2021-35587 и была оценена экспертами в 9,8 баллов из 10 по шкале CVSS.
Компания Acer сообщила об устранении UEFI-уязвимости в своих ноутбуках, которая позволяла злоумышленникам отключить Secure Boot. Успешное использование этой уязвимости позволяло неавторизованному киберпреступнику с доступом к сети полностью скомпрометировать и получить контроль над экземплярами Access Manager.
Корпорация Google заявила о выпуске экстренного обновления для десктопной версии своего браузера Chrome. Исправление устраняет восьмую уязвимость нулевого дня в Chrome в 2022 году. Уточняется, что выявленная ошибка уже находилась под атаками.
Исследователи из компании Nozomi Networks выяснили, что уязвимости прошивки BMC делают устройства OT и IoT подверженными удаленным атакам. BMC — специализированный процессор, позволяющий администраторам удаленно контролировать устройство без доступа к операционной системе или работающим на нем приложениям.
На прошлой неделе компания Atlassian проинформировала клиентов об исправлении критических уязвимостей в своих продуктах Crowd и Bitbucket. Обновления, устраняющие уязвимость CVE-2022-43781, были выпущены как для BitBucket 7, так и для 8.
Эксперты по кибербезопасности заявили об обнаружении критической уязвимости, затрагивающей продукты компании Omron. Она была проэксплуатирована сложной вредоносной программой, предназначенной для атак на промышленные системы управления (ICS).
Специалисты Google Project Zero сообщили об обнаружении неисправленной уязвимости, известной как CVE-2022-33917, подвергающей миллионы смартфонов на Android риску атак. Обнаруженная уязвимость затрагивает устройства Android, оснащенные графическим процессором ARM Mali.
Источник: cisoclub.ru